国际人权法系列规定,每个国家都有义务尊重、保护和促进人权,这些义务甚至通常会得到区域人权框架的加强和补充,如《欧洲人权公约》《美国人权公约》和《非洲人权和人民权利宪章》以及各国国家宪法和立法等。这意味着,各国政府、立法机构和其他国家行为者在制定可能影响人权的立法和政策时,必须充分考虑公共政策所有领域的人权层面。

加密技术与人权有着密切的联系,因此,规范加密技术使用的法律和政策也应考虑人权问题。加密被广泛认为是一种工具,使个人能够享受和行使一些人权,尤其是隐私权和言论自由权。加密确保人们的通信是保密的,并确保即使被截获也无法读取。此外,加密还促进了言论自由权,特别是在更为独裁或专制的国家,加密为用户的通信提供了隐私,使公民能够充分行使言论自由的权利,而不会产生潜在的影响。

虽然国际人权法确实允许对隐私权和言论自由进行一些限制,因此也即自然地允许对加密的使用进行一些限制,但这些限制非常狭窄。尽管已经有了上述限制,许多国家关于加密的法律和政策仍然超出了国际人权法所允许的范围。

国际文书和机构详细规定了受加密影响最大的权利——隐私权和言论自由权——的相关标准。此外,联合国促进与保护见解和言论自由权特别报告员于2015年和2018年发表了相关报告,从国际人权法的角度专门审查了加密(以及匿名)问题。因此,现在有了一个相对明确的框架来评估加密法律和政策是否尊重人权。

该评估工具的目的是使用户能够从人权角度分析加密法律和政策。它概述了加密法律和政策的关键要素,以及如何根据国际人权标准对加密进行评估。评估工具还包括现有加密法律和政策中的良好做法和不良做法。

本期简报对该报告进行了全文翻译,以飨读者。

一、加密法律和政策的六个关键要素

虽然不同国家加密法律和政策的范围各不相同,但有六个要素特别常见,用户在进行人权评估时应注意这六个要素:

1. 加密的一般权利:国家立法或政策应确立个人使用加密产品和服务的一般权利;

2. 强制性最小或最大加密强度:国家立法或政策不应规定加密产品和服务的最大标准。如果最低标准追求合法的目标,并且是必要的和相称的,则可以允许最低标准;

3. 许可/注册要求:国家立法或政策只应要求加密产品或服务的提供商在这些要求追求合法目的且必要且相称时获得许可或注册。用户在使用加密产品或服务时,不应被要求持有许可证、注册或以其他方式获得许可;

4. 进出口管制:国家立法或政策只应在加密产品或服务追求合法目的、必要且相称时,对其进出口规定限制或条件;

5. 供应商协助当局的义务:理想情况下,国家立法或政策不应要求私营实体协助国家当局获取加密通信的内容。如果立法中确实包含此类要求,则只有在符合合法目的且必要且相称时,才应允许此类要求;

6. 个人协助当局的义务:理想情况下,国家立法或政策不应规定国家当局有能力要求个人解密(或协助解密)加密通信。同样,如果立法中确实包含此类要求,则只有在符合合法目的且必要且相称时,才应允许此类要求。

二、六个关键要素的评估

虽然我们已经确定了加密法律和政策的这六个要素,但重要的是要考虑到,各国的国家法律和政策中可能没有包含上述这些要素。此外,这些要素可能存在于各种立法和政策中,因为各国很少有针对加密的法律和政策。

为了更清晰的展示相关做法,报告中用绿色标记良好法律与政策,红色标记不良法律与政策。

1. 一般加密权

大多数国家没有规定使用加密的一般权利,如果在其他地方对加密的使用没有不符合国际人权法和标准的限制,则这种一般加密权的规定并非绝对必要。然而,特别报告员的指导意见建议,各国应确保立法“承认个人可以通过使用加密技术自由保护其数字通信的隐私”。下面的例子说明了一些国家如何在国家立法中规定使用加密的一般权利。

卢森堡2000年8月14日《电子商务法》第3条规定,“加密技术的使用是免费的”。

芬兰《电子通信隐私保护法》(Law on the Protection of Privacy in Electronic Communications)(第516/2004号法律)第6节规定,除非法律另有规定,否则电子通信服务的订阅者和用户有权根据自己的意愿使用任何可用的技术以保护其通信和身份信息。

2. 强制最小或最大加密强度

国家立法或政策有时(尽管很少)规定了加密产品和服务的最低或最高标准,例如允许的最小或最大密钥长度。

根据国际人权标准,不太可能允许设定最高标准。通过限制个人可能使用的最高标准,国家行为者、企业和其他第三方可以更轻松地访问此人加密数据的内容。设定最高标准的法律和政策甚至可能等同于一项禁令,因为它们规定的加密标准极为薄弱。因此,各国不应为加密产品和服务制定最高标准。然而,下面的例子说明了一些国家是如何制定这种最高标准的。

印度印度电信部《互联网服务运营许可证授予指南和一般信息》(Guidelines and General Information for Grant of Licence for Operating Internet Services)规定,互联网服务提供商不得在其网络上部署“批量加密”,并禁止用户在未经事先许可的情况下使用密钥长度大于40位的加密。任何使用更强加密的人都必须向政府提供加密密钥的副本。

塞内加尔《密码法》(Law on Cryptography)(第2008-41号法律)第13条允许国家密码委员会(National Cryptology Commission,NCC)制定最长加密密钥的规则,NCC已将密钥最大值设置为128位(第2010-1209号法令第13条,经第2012-1508号法令修订)。使用密钥长度更大的加密需要授权。

相反,制定最低加密标准是被法律和政策所允许的。例如,制定最低标准有助于确保所使用的加密功能强大,从而有助于保护关键基础设施、基本服务和隐私权。鉴于最低标准仍将相当于对个人使用的加密产品和服务的选择的限制,这些最低标准将需要相称,并且仅适用于必要的情况。下面的示例显示了在诸如政府机构处理个人数据的情况下,某个州如何要求最小密钥大小。

菲律宾国家隐私委员会在其《政府机构个人数据安全》中表示,“无论是静止还是传输,经过数字处理的个人数据都必须加密”,并建议“密钥大小为256位的高级加密标准(AES-256)作为最合适的加密标准”。

3. 许可/注册要求

在一些州,国家立法或政策要求加密产品或服务的提供商(尽管很少有用户)在某些情况下获得许可或注册。由于这相当于对个人使用其选择的加密产品和服务能力的限制,因此任何许可或注册要求都必须追求合法的目的。

例如,政府可以为加密工具和服务提供商设立一个注册处,以监控质量保证。许可证制度可能允许监管机构在某些加密产品或服务被证明存在缺陷或设计不当时拒绝这些产品或服务。此外,这些要求必须相称,应当仅在必要时涵盖供应商或用户。例如,要求每个用户申请许可证是不符合相称性的。

在实践中,制定许可或注册要求的法律和政策往往被用于非法目的。评估这些要求(尤其是独裁国家的要求)是否被用作国家控制信息的工具或限制加密产品的市场是非常重要的。当注册或许可要求涉及安全部门或军方时,上述国家控制或限制的情况可能就会出现。

虽然最佳做法是没有任何许可或注册要求,但下面的示例显示了一个国家如何建立一个只要求加密提供商向政府机构注册,而不是获得任何许可或授权的方案。

南非《2002年电子通信和交易法》(Electronic Communications and Transactions Act of 2002)第30节要求所有密码提供商在政府记录下其联系信息,并描述其密码产品或服务。该要求仅适用于开发加密产品或服务的公司,并明确规定不要求他们披露任何机密信息或商业秘密。

下面的例子显示了另一个国家如何要求那些希望提供或使用加密电信服务的人获得一系列政府和监管机构的许可。

埃及2003年《电信管理法》(Law on Telecommunication Regulations)第64条禁止电信服务运营商、提供商、雇员和此类服务的用户在未经国家电信管理局、武装部队和国家安全实体书面许可的情况下使用任何电信服务加密设备。这一要求有一个有限的例外,即用于无线电和电视广播的加密设备。违反这项禁令属于刑事犯罪,可处以监禁和10,000至100,000埃及镑的罚款。

4. 进出口管制

在一些州,国家立法或政策对加密产品和服务的进口或出口规定了限制条件。这些限制条件必须基于合法的目的,例如限制向独裁国家出口加密工具。这是许多国家的共同目标,也反映在《瓦森纳协议》中。《瓦森纳协议》规定了密码工具和其他两用技术的出口规则,以防止它们被用于发展或加强对国际和平与安全构成威胁的国家军事能力。

然而,一些国家控制加密产品和服务的进口或出口,以保持政府能够访问加密数据内容,并将其无法解密的强大加密产品和服务挡在国家之外。因此,除了立法或政策本身之外,有必要考虑政府制度和此类控制背后的潜在动机。

虽然对加密产品和服务进出口的任何限制都必须是实现合法目的的适当手段,但实际上,对进口的限制可能更令人担忧。从理论上讲,限制从特定州进口加密工具,或者限制某些类型的工具存在缺陷、设计不良或包含恶意软件的风险,这可能是相称的。然而,限制进口加密工具背后的动机往往是为了阻止人们访问加密工具。这很可能是对进口实行全面限制的情况,如下例所示。

中国国务院第273号令《商用密码管理条例》规定,任何加密产品的进出口都需要国家密码管理局颁发的许可证。

对加密工具出口的限制不太可能引起关注。事实上,如果目的是防止其他政府和行为者以损害人权的方式滥用其他合法工具,限制甚至可能是有益的。下面的例子说明了一个国家如何对某些加密产品的出口实行有限的限制,其限制重点是潜在的有害用途,而不是面向公众销售的产品。

加拿大《进出口许可证法》第3节允许政府制定出口管制清单,对某些物品的出口加以限制。清单上的物品通常必须获得出口许可证的授权才能从加拿大出口,其中包括某些形式的加密技术。但是,如果加密项目出口到美国,或者加密项目是面向公众销售的,则无需许可证。

5. 供应商协助当局的义务

在一些国家,国家立法或政策要求或请求私营实体协助国家当局获取加密通信的内容,无论是通过解密、开发和部署“后门”还是采取其他行动。鉴于这些措施对个人人权构成重大干扰,国家法律和政策最好不包含这些措施。如果必须要求私营实体协助国家当局访问加密通信的内容,则必须伴随严格的限制、保障和监督,以确保仅在必要和适当的情况下使用。这意味着:

•要求或请求私营实体提供援助的权力应明确无误;

•只有为了追求一个合法的目标,例如预防严重犯罪、保护公共秩序或保护他人的权利,才有可能行使权力。即使声称合法的目的也可能被作为非法目的的借口,因此,在可能的情况下,检查权力在实践中是如何行使的;

•任何权力的行使都应由独立的司法当局监督;

•只有在适当的情况下才允许行使权力,任何替代行动都不会如此有效。独立的司法当局应有权决定权力行使的相称性;

•任何权力的行使只能针对特定的、确定的个人,而不是整个群体;

•任何权力的行使应仅限于有限的、规定的期限,如果期限延长,则需要进行司法审查;

•对不合规行为的任何制裁都应相称。

没有一个国家规定提供者有法律义务以完全符合上述所有标准的方式协助当局,但有些国家比其他国家有更强的限制、保障和监督。

中国《反恐怖主义法》第18条规定,电信运营商和互联网服务提供商“应当向依法预防和侦查恐怖活动的公安机关和国家安全机关提供技术接口、解密等技术支持援助”。除了这些规定仅适用于“预防和调查恐怖主义活动”之外,没有任何限制、保障和监督。

印度《2000年信息技术法》(Information Technology Act 2000)第69条赋予中央和州政府权力,指示任何政府机构截获、监测或解密,或通过计算机资源传输、接收或存储的任何信息所导致得截获、监测或解密。政府必须确信,“为了印度的主权和完整、印度的国防、国家安全、与外国的友好关系或公共秩序,或为了防止煽动实施与上述相关的任何可认定罪行,或为了调查任何罪行,这样做是必要的或有利的”。因此,代理机构可要求任何“订阅者、中介或负责计算机资源的任何人员”提供拦截、监控或解密信息所需的“所有设施和技术援助”。否则将面临刑事处罚,最高可判处七年监禁、罚款或两者兼有。这里的限制和保障措施是最低限度的,仅限于政府确信这些措施对于一系列目标而言是“必要的或有利的”。

澳大利亚1997年《电信法》(Telecommunications Act)规定政府和某些安全和执法机构可以向通信提供商发出三类请求和通知。第一,安全或执法机构发出的技术援助请求,可以请求但不能要求提供商采取特定步骤来确保提供商能够为机构提供某些类型的帮助,如维护国家安全或执行刑法;第二,安全或执法机构发布的技术援助通知,要求提供商采取特定步骤,以帮助该机构履行其与国家安全或刑法执行相关的职能;第三,只能由总检察长发布的技术能力通知,要求提供商采取与技术能力相关的特定行为或事情,确保提供商能够再次就其与国家安全或执行刑法相关的职能向安全机构提供特定类型的帮助。

未遵守技术援助通知或技术能力通知属于刑事犯罪,如果供应商是法人团体,则最高可处以47619个罚款单位(999999澳元),如果供应商不是法人团体,则最高可处以238个罚款单位(49980澳元)。

所有请求和通知均由政府提出,不受司法监督。然而,有一些保障措施:

•任何请求或通知必须合理且相称,合规性必须切实可行且在技术上可行。对合理性和相称性的评估需要考虑若干特定因素,例如请求或通知是否“必要”以及“澳大利亚社区对隐私的合理期望”。

•如果请求或通知涉及加密,其不得具有“请求通信提供商或要求指定通信提供商实施或构建系统性弱点或系统性漏洞,形成电子保护形式”或“阻止指定通信提供商纠正电子保护形式中的系统性弱点或系统性漏洞”的效果。

•该法案明确规定,此类请求不能要求在某种形式的电子保护方面实施或建立新的解密能力,也不能要求任何会降低系统认证或加密方法有效性的措施。如果弱点和漏洞影响到“一整类技术”,则它们是系统性的,但如果它们“有选择地引入与特定人员相关的一种或多种目标技术”,则它们不是系统性的。

6. 个人协助当局的义务

除了提供者援助条款外,国家立法或政策还可能规定国家当局有权要求个人解密(或协助解密)加密通信。理想情况下,各国不应要求任何个人协助解密加密通信。然而,如果确实存在要求个人这样做的权力,则必须伴随着严格的限制、保障和监督,以确保仅在必要和适当的情况下使用这些权力。这意味着:

•要求个人解密或协助解密通信的权力应明确无误;

•只有为了追求一个合法的目标,例如预防犯罪、保护公共秩序或保护他人的权利。即使声称合法的目的也可能被作为非法目的的借口,因此,在可能的情况下,需要检查权力在实践中是如何行使的;

•任何权力的行使都应由独立的司法当局监督;

•只有在适当的情况下,才允许行使权力,任何替代行动都不会如此有效。这应包括确定传统警务和情报以及跨国合作等其他工具是否能够获得相关证据;

•独立司法当局应有权确定权力行使的相称性;

•任何权力的行使只能针对特定的、确定的个人,而不是整个群体;

•对不合规行为的任何制裁都应相称。

下面的例子表明,一些国家的立法和政策框架要么不包括个人解密(或协助解密)加密通信的任何义务,要么使这些要求受到重大限制、保障和监督手段。

加拿大:没有要求个人解密加密通信的立法权力,在R v.Boudreau Fontaine(2010 QCCA 1108)一案中,魁北克上诉法院裁定,强制个人提供密码的命令侵犯了他的宪法权利,包括沉默权和反对自证其罪的权利。

爱尔兰《2017年刑事司法(信息系统相关犯罪)法》(Criminal Justice (Offences Relating to Information Systems) Act 2017)第7节规定,法官可以签发搜查令,搜查特定地点和在该地点发现的任何人员。执行手令的人可在该地方操作计算机,并要求该地方的人向他们提供任何密码或加密密钥,以解密该计算机上的任何信息。不遵守这一要求属于刑事犯罪,可处以a类罚款或不超过12个月的监禁,或两者兼有。虽然这项权力确实需要个人提供解密密钥,但有许多保障措施:

•只有在法官发出逮捕令后才能行使权力,并且只能在逮捕令规定的具体地点行使权力;

•在发出逮捕令之前,法官必须有合理的理由怀疑在该地方可以找到犯罪(或与犯罪有关)的证据;

•该罪行必须是法律规定的数量有限的计算机相关罪行之一(例如未经合法授权访问信息或拦截通信);

•作为生成密码或加密密钥的替代方案,该人员应当形成所要求的特定形式的信息,通过该形式加密可以被移除并让信息可见与易读;

•不遵守规定的最高处罚为罚款或十二个月监禁。

乌干达2010年《拦截通信法条例》(Regulation of Interception of Communications Act)第10(1)节允许安全和执法机构对个人实施加密信息的“披露要求”,前提是他们认为该个人拥有加密信息的密钥,并且为了国家安全的利益有必要披露要求,例如预防或侦查危及生命的刑事犯罪,预防或侦查贩毒或人口贩运犯罪,或为了国家经济福祉。

受披露要求约束的人必须使用其持有的钥匙获取信息,并以可理解的形式披露信息(第10(4)条)。如果此人不再拥有钥匙,但拥有有助于获取或发现钥匙的信息,则必须向管理局披露该信息(第10(5)条)。不遵守披露要求属于刑事犯罪,可处以最高五年监禁、罚款或两者兼有。此外,没有任何有意义的保障措施,比如需要搜查令或其他形式的司法监督,而且可以行使权力的情况范围很广,不仅限于涉及直接伤害的案件,延伸到涉及国家“经济福祉”的案件。

三、评估方法

进行分析所用的方法是基于国际人权法,主要是《公民权利和政治权利国际公约》(International Covenant on Civil and Political Rights,ICCPR)。如导言所述,受加密法律和政策影响最相关的人权是隐私权和言论自由权。《公民权利和政治权利国际公约》第17条保障了公民的隐私权,并规定“任何人的隐私、家庭、住宅或通信均不得受到任意或非法干涉”。隐私权包括对个人财产的控制以及与他人私下沟通的能力。第19条保障了言论自由的权利,包括不分国界接受和传播各种信息和思想的权利。这项权利适用于通过任何媒体进行的各种通信(因此包括在线和离线)。

根据国际人权法,任何干涉隐私权或言论自由权的措施,除非有正当理由,否则将构成对这些权利的侵犯。为了证明干涉措施的合理性,任何限制都必须符合三个条件,即:(1)干涉措施有明确的法律依据;(2)干涉措施追求的是合法的目标;(3)实现该目标的必要性和相称性。

这些国际人权法和标准构成了该评估方法的基础,也得到了联合国促进与保护见解和言论自由权特别报告员的相关指导,特别是2015年关于加密和匿名的报告,以及2018年该问题的后续报告。(完)

免责声明:本译文仅代表作者本人观点,不代表所在单位。译文仅供研究使用。

(本期译者:冯潇洒)

声明:本文来自苏州信息安全法学所,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。